Muchas organizaciones buscan abordar el riesgo cibernético en los comportamientos de su fuerza laboral. Para algunos, esto refleja una mayor conciencia de la ciberamenaza. Para otros, en el sector financiero, por ejemplo, que han invertido mucho en ciberseguridad, es porque, a pesar de su inversión, siguen siendo vulnerables.
Los desafíos particulares que enfrentan son el panorama de amenazas en constante cambio y una fuerza laboral que, en muchos casos, no ha recibido suficiente capacitación y tiene que lidiar con un entorno en el que a menudo es difícil trabajar de manera segura y al mismo tiempo cumplir con los requisitos de su función.
La mayoría de las organizaciones operan a través de una combinación de tecnología, procesos y personas. En seguridad cibernética, las dos primeras acciones son relativamente sencillas de implementar. El tercero, la gente, es menos claro y menos predecible.
Algunas personas responden al entrenamiento, otras no. Si una persona no está contenta en el trabajo, podría hacer algo que normalmente no haría y poner en riesgo la seguridad. Una buena capacitación en seguridad y una cultura de seguridad deberían reducir la probabilidad de que esto suceda.
Otro desafío radica en la dificultad de medir el éxito de la capacitación en seguridad del personal. Pero esto está cambiando. La ciencia del comportamiento ahora proporciona una mejor comprensión de cómo influir en el comportamiento e identificar comportamientos relevantes. Una capacidad cada vez mayor para medir estos comportamientos significa que se están logrando avances significativos tanto en la entrega de capacitación en seguridad como en la medición del impacto de esa capacitación.
Está claro que la capacitación en seguridad más efectiva comienza con un enfoque claro en lo que la organización quiere lograr. ¿Se trata simplemente de cumplir con la regulación para cumplir con los requisitos de una certificación? ¿O está tratando de mejorar los comportamientos de seguridad de la fuerza laboral para reducir el riesgo y proteger a la organización, sus intereses, sus empleados y sus clientes?
El primero debe conducir al segundo y significa que la capacitación debe utilizar el enfoque más actualizado, hacerlo relevante para el negocio y mostrar al personal muy claramente cómo las amenazas de seguridad pueden afectar sus operaciones diarias.
¿Cuáles son las opciones de formación y cuáles son sus puntos fuertes y débiles?
El primer enfoque es la capacitación obligatoria impartida como parte de un curso y una evaluación regulares (generalmente anuales). Muchas organizaciones han hecho esto durante varios años porque cumple con los requisitos actuales de regulación y alguna certificación. Lamentablemente, es ineficaz para impulsar el cambio de comportamiento. En el mejor de los casos, el personal recuerda lo que aprendió en la capacitación durante un breve período de tiempo después de haberla recibido. Luego lo olvidan y, sin un recordatorio fácil de lo que deben hacer, es posible que no tomen las medidas adecuadas cuando se enfrenten a una amenaza a la seguridad.
Una forma de abordar esto es tener un recurso de fácil acceso donde el personal pueda buscar qué hacer en una situación particular. Esto podría incluir políticas, orientación y pequeños fragmentos de capacitación a los que se hace referencia en el módulo de capacitación central que facilitan que el personal haga lo correcto.
Un segundo enfoque del entrenamiento es proporcionarlo en porciones pequeñas durante todo el año. Esto se entrega más fácilmente a través de una plataforma subcontratada. La ciencia del comportamiento sugiere que esta es una de las mejores maneras de garantizar que la fuerza laboral adopte un buen comportamiento de seguridad.
En algunos casos, las plataformas de capacitación también brindan “empujones” en forma de sugerencias emergentes integradas en la TI para impulsar el comportamiento correcto. Algunos permitirán un fácil acceso a los documentos de políticas y también pueden incluir material para involucrar al personal, como consejos sobre cómo los padres pueden ayudar a sus hijos a mantenerse seguros en línea. Por lo general, hay opciones para la medición del comportamiento integrada, lo que significa que se puede realizar un seguimiento del progreso y se pueden identificar las áreas que necesitan atención.
Las organizaciones también deben decidir si proporcionan capacitación interna o externa. Una posible solución es obtener capacitación conjunta como parte del rol de socio de entrega de seguridad cibernética que muchos tienen con sus proveedores de centros de operaciones de seguridad (SOC). Esto permite que el proveedor de SOC brinde conocimientos y capacitación actualizados a la organización.
También existen numerosos proveedores especializados en capacitación en seguridad que han construido sus plataformas sobre la ciencia y la investigación del comportamiento. Idealmente, las organizaciones deberían complementar la provisión subcontratada con capacitación interna de liderazgo, gestión y campeones de seguridad para ayudar a fortalecer su cultura de seguridad.
Esta capacitación debe estar diseñada para respaldar los objetivos comerciales y las joyas de la corona de la organización. Por lo tanto, deben usar la especificación y la entrega de capacitación para ayudarlos a crear la cultura cibernética y las habilidades que necesitan en toda su organización. Si trabajan con un proveedor externo, deben asegurarse de que sus objetivos estén alineados y se beneficien de la inversión que hace el proveedor para mantenerse actualizado.
Independientemente del enfoque que adopten las empresas para la capacitación, deben reconocer que debe centrarse en un cambio de comportamiento real, no solo en marcar una casilla una vez al año.
Tom Everard es un experto en seguridad cibernética en PA Consultoría.